NATO-Cyberübung "Locked Shields": Phishing verhindern, Container verteidigen
Das Cybersicherheitszentrum der NATO bittet zur Großübung. Sie simuliert, wie kritische Infrastruktur vor digitalen Angriffen geschützt werden kann.
- Frank Neugebauer
Die jährlichen Übungen "Crossed Swords" und "Locked Shields" des NATO-Cybersicherheitszentrums CCDCOE werden in der kommenden Woche in ihre heiße Phase treten. Die Großübungen sind als interaktive und realitätsnahe Simulationen konzipiert und sollen es den Securityexperten des Bündnisses ermöglichen, ihre Fähigkeiten im Schutz kritischer Infrastrukturen zu schärfen.
Rot gegen Blau
"Crossed Swords" fokussiert sich auf die Ausbildung offensiver Cyberoperationen und richtet sich daher primär an Red Teams und Cyberspezialisten, die in der Lage sind, komplexe, computergestützte Angriffe durchzuführen. Einige Teilnehmer dieser Übung werden anschließend in der Übung "Locked Shields" als Teil der Red Teams eingesetzt.
Die Übung "Locked Shields", die bei der es am 24. und 25. April 2024 zum Cyberschlagabtausch kommen dürfte, zeichnet sich durch den Wettstreit zwischen roten und blauen Teams aus. Während die Red Teams hauptsächlich von der estnischen Hauptstadt Tallinn aus agieren, setzen sich die Blue Teams aus Mitgliedern der CCDCOE-Mitgliedsstaaten zusammen, die von ihren jeweiligen Heimatstandorten aus arbeiten. Insgesamt nehmen an der Übung mehr als 3500 militärische und zivile IT-Fachleute aus 32 Nationen teil. Die Blue Teams sind per VPN mit dem virtuellen Übungsnetzwerk in Tallinn verbunden.
Unterstützung aus Singapur
In diesem Jahr erhält das deutsche Blue Team, das von Kalkar aus operiert, eine bedeutende Verstärkung durch 49 Cyberspezialisten aus Singapur. Die militärischen Teilnehmer der Bundeswehr und des Ministry of Defence Singapurs operieren aus dem Standort Kalkar und werden von zivilen Mitarbeitern des BSI, der Bundeswehr-IT-Gesellschaft (BWI GmbH), dem Fraunhofer-Institut (FKIE), der Universität der Bundeswehr in München unterstützt. Auch Firmen wie Airbus, Siemens, Telekom, Splunk und Crowdstrike steuern Hilfe bei. Damit umfasst das Blue Team rund 200 Teilnehmer.
Die Teams stehen vor der Herausforderung, Vorfälle zu melden, strategische Entscheidungen zu treffen und sich forensischen, rechtlichen sowie medialen Herausforderungen zu stellen. "Locked Shields" legt besonderen Wert auf ein realistisches Szenario, das den Einsatz moderner Technologien und aktueller Angriffsmethoden umfasst, um mit den technologischen Entwicklungen Schritt zu halten.
Welches Blue Team ist das Beste?
Der Sieger der Übung "Locked Shields" wird durch die Bewertung der Leistungen der teilnehmenden Blue Teams ermittelt. Das CCDCOE hat ein ausgeklügeltes Bewertungssystem eingeführt, das Fehler bestraft, aber auch gute Leistungen mit Zusatzpunkten belohnt. Die Bewertung basiert auf verschiedenen Kriterien wie Verfügbarkeit der Systeme, Reaktionszeit der Teams, strategische Entscheidungen und Kommunikation innerhalb der Teams.
Zusätzlich wurden spezielle Herausforderungen wie das Erkennen und Verhindern von Phishing-Angriffen, die Verteidigung von Webseiten und Docker-Containern berücksichtigt. Dabei legt der Veranstalter besonderen Wert auf einen regen Informationsaustausch zwischen den Blue Teams, um sich über die Vorgehensweise der erkannten Angriffe, die verwendeten Techniken und die von den "Kriminellen" genutzten IP-Adressbereiche auszutauschen und belohnt zusätzliche Hinweise mit Extrapunkten.
Berylia vs. Crimsonia
Die Übung basiert auf einem möglichen Szenario der fiktiven Nachbarstaaten Berylia und Crimsonia: Berylia ist eine parlamentarische Demokratie, UN-Mitglied und assoziiertes Mitglied der EU auf dem Weg zur Vollmitgliedschaft. Das Land hat die Cybercrime-Konvention des Europarates ratifiziert. Berylia ist nicht Mitglied der NATO.
Crimsonia hingegen ist ein Staat mit einer schwachen parlamentarischen Demokratie, aber einer sehr starken politischen Oligarchie. Das Land ist Mitglied der UNO, aber nicht der NATO oder der EU und hat die Europaratskonvention über Cyberkriminalität nicht ratifiziert.
Revalia, ein drittes Land in diesem Szenario, ist ein weiterer Inselstaat im Nordatlantik. Dieses Land verfolgt seit langem eine Politik der Neutralität und unterhält friedliche Beziehungen zu den anderen Staaten. Revalia ist sowohl für Berylia als auch für Crimsonia von zentraler Bedeutung, da es beide Nationen über Unterseekabel mit dem europäischen Kontinent verbindet.
Berylia und Crimsonia waren lange Zeit regionale Rivalen, aber ihre Beziehungen haben sich in den letzten Jahren zunehmend verschlechtert. In jüngster Zeit sind Streitigkeiten über die ausschließliche Wirtschaftszone und die heimliche Unterstützung subversiver Aktivitäten in Berylia durch Crimsonia zu großen Spannungsherden geworden. Hinzu kommen Cyber-Angriffe aus Crimsonia, die die Kommunikations- und Infrastruktur Berylias erheblich bedrohen.
Die Regierung Berylias nimmt die Hilfe der internationalen Gemeinschaft an und fordert ein "Rapid Reaction Team" der NATO an. Dieses Blue Team wird mit den unterschiedlichsten Formen von Cyber-Angriffen konfrontiert, gegen die es sich zur Wehr setzen muss. Somit sind technische und nicht technische Herausforderungen zu meistern.
(axk)